我的数据库无法复制,错误日志中唯一的线索是Operation Not Permitted,我猜是 donar 或 joiner 上的文件访问权限失败。是否有任何文件可以tail让我查看用户/进程正在尝试读取/写入/执行哪些文件?
答案1
该auditd(8)守护进程提供了您在问题中请求的功能。它在文件中配置/etc/audit/auditd.conf,其语法在手册页中描述auditd.conf(5)。
您需要安装并启用守护程序,并配置/etc/audit/audit.rules以审核您认为相关的事件。以下是audit.rules(7)手册页中的示例:
-a always,exit -F arch=b32 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b32 -S open -S openat -F exit=-EPERM -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EPERM -k access
阅读auditctl(8)手册页以获得示例中使用的所有选项的解释。
为了以后的分析/报告,您可以使用ausearch(8)和aureport(8)工具。